Descripción
Stop User Enumeration es un plugin diseñado para detectar y prevenir que los hackers escaneen su sitio para los nombres de usuarios.
User Enumeration is a type of attack where nefarious parties can probe your website to discover your login name. This is often a pre-cursor to brute-force password attacks. Stop User Enumeration helps block this initial attack and allows you to log IPs launching these attacks to block further attacks in the future.
Herramientas como WPSCAN están diseñadas para el uso de los hackers éticos y se esfuerzan por encontrar los nombres de inicio de sesión de los usuarios. Los hackers éticos piden permiso primero, este plugin esta diseñado para reducir las herramientas cuando se usan sin permiso y cuando se usan en conjunto con fail2ban pueden bloquear esos intentos en el cortafuegos (Firewall)
Si estas en una VPS o en un servidor dedicado, a medida que se registra la IP del ataque, puedes usar (configuracion opcional adicional) fail2ban para bloquear el ataque directamente en el cortafuegos de tu servidor, una potente solucion para los dueños de VPS para detener ataques de fuerza bruta y tambien ataques DDoS (Denegación de servicio)
Si no tienes acceso a instalar fail2ban (ej. en un host compartido) puedes seguir usando este plugin.
El plugin puede detener el id de un usuario filtrado por la oEmbed API call.
Since WordPress 4.5 user data can also be obtained by API calls without logging in, this is a WordPress feature, but if you don’t need it to get user data, this
plugin will restrict and log that too.
Since WordPress 5.5 sitemaps are generated by core WP ( wp-sitemap.xml ) which includes a user/author sitemap that exposes the user id. You can enable / disable this in the plugin settings.
Compatible con PHP 8.2
Probado en PHP 8.2
Características incluidas
- Bloquea la solicitud de enumeración de usuaros por GET o ENTRADA
- Registra en el sistema un bloque, asi que Fail2Ban puede ser usado para bloquear una ip
- Opcionalmente bloquea las solicitudes REST API de usuarios no autorizados
- Opcionalmente elimina el mapa del sitio del autor
- Opcionalmente elimina el autor del OEMBED
- Opcionalmente elimina los números de los comentarios de los autores
Instalación
Este sector describe como instalar un plugin y hacer que funcione
Ya sea usando el escritorio ‘Añadir un plugin’ característica para encontrar, instalar y activar el plugin o
1. Descarga el plugin desde el enlace de descarga
2. Sube entero la carpeta de stop-user-enumeration a tu web /wp-contents/plugins/stop-user-enumeration usando un gestor de archivos o FTP
3. Activa el plugin desde el menú de plugins.
FAQ
-
It doesn’t seem to work!
-
Are you logged in? This plugin won’t do anything for logged in users, it only works when you are logged out. This is the way it is designed. A common mistake is to install the plugin and test it, while still logged in as admin.
-
Mi nombre de usuario todavía parece estar filtrado!
-
Los temas y los xml feeds van a incluir tu usuario ‘Nombre mostrado’. Si no quieres especificar ningun detalle del nombre o nick name (apodo), el ‘Nombre mostrado’ va a ser tu nombre de acceso por defecto. Asegúrate de que siempre NO es tu nombre de usuario o va a ser filtrado en múltiples sitios
-
Are there any settings?
-
Yes, but the default ones are fine for most cases
-
This doesn’t work with PHP 5.2!
-
Este plugin no es compatible con PHP 5.2. PHP 5.2 es muy antiguo y realmente necesita ordenar su alojamiento, ejecuta una versión del software que ya pasó el final de su vida útil compatible es un riesgo de seguridad.
-
Will it work on Multisite?
-
Si
-
Why don’t I just block with .htaccess
-
Una solución .htaccess es insuficiente por varias razones, pero la mayoría de entradas en el sujeto no cubre POST blocking, REST API bloquea y sin avisar bloquea el acceso del usuario administrador. Y no registres la ip en un cortafuegos, el mayor beneficio!
-
Does it break anything?
-
If a comment is left by someone just giving a number that comment would be forbidden, as it is assumed a hack attempt, but the plugin has a bit of code that strips out numbers from comment author namesa1
Also usernames containing numbers may not work in the front end. Additionally the default rule for Rest APi is anything with users in it, so other plugins may set up endpoints. -
How can I change the Rest API match rules
-
There are two filters
stop_user_enumeration_rest_stop_match
set to/users/i
by default andstop_user_enumeration_rest_allow_match
set tosimple-jwt-login
by default ( to allow that plugin’s endpoints ) -
Do I need fail2ban for this to work?
-
No, but fail2ban will allow you to block IP addresses at your VPS / Dedicated server firewall that attempt user enumeration.
-
What is the fail2ban config?
-
Un archivo de configuracion fail2ban, wordpress-usernum.conf se encuentra en el directorio de plugins stop-user-enumeration/fail2ban/filter.d
-
Por que necesita ir en el fail2ban jail.local?
-
Un ejemplo jail.local se encuentra en el directorio de plugins stop-user-enumeration/fail2ban
-
How can I report security bugs?
-
You can report security bugs through the Patchstack Vulnerability Disclosure Program. The Patchstack team help validate, triage and handle any security vulnerabilities. Report a security vulnerability.
Reseñas
Colaboradores y desarrolladores
«Detener la enumeración de usuarios.» es un software de código abierto. Las siguientes personas han colaborado con este plugin.
Colaboradores«Detener la enumeración de usuarios.» está traducido en 2 idiomas. Gracias a los traductores por sus contribuciones.
Traduce «Detener la enumeración de usuarios.» a tu idioma.
¿Interesado en el desarrollo?
Revisa el código , echa un vistazo al repositorio SVN o suscríbete al registro de desarrollo por RSS.
Registro de cambios
1.6.3
- fix warning with die
1.6.2
- set wp_die to return 403
- added defer to script
1.6.1
- updated tested to 6.6
1.6
- change getenv to $_SERVER for better compatability
- added extra sanitization to meet current plugin repo standards
- allow exception for Simple JWT Login rest route and add filters to adjust match and exception of rest rules
1.5.0
- remove admin notifications for reviews and donations